这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。

这个程序是我本科毕设中的一部分,本来接下来还要从监控结果中提取行为序列去检测恶意代码,不过那部分实现比较挫,不好意思发了。

这个程序监控系统调用时可以创建新进程,也可以attach到已有进程,不过记录的内容很粗糙,不想细改了。

注意事项:
1、由于本程序在 Hook KiFastCallEntry 时和360安全卫士Hook了同一个地方,所以在装有360的电脑上会做一些特殊处理。这将导致本软件运行过程中360会暂时无效,关闭本软件后360恢复;

2、一年前写的了,只测试过xp,说不准在win7下会闹哪样,也说不准会跟别的安全软件有什么冲突,懒得测试了。

截图如下:



源码和bin都在附件中。

上传的附件 XBox.rar